AIX密码策略测试
#参考学习
http://blog.chinaunix.net/uid-27570589-id-3704847.html
实验目的:在安装AIX ORACEL RAC的过程中,对于用户的密码配置,感觉很恶心,因此了解掌握此知识,对于安装可以快速,对于AIX系统的密码概要文件,进行修改,能达到想要的目的
1. 测试流程:
创建用户,设置密码,在主机内部,互相su 切换用户
-bash-4.2# mkuser id='501' pgrp='oinstall' groups='dba,asmdba' home='/home/oracle' yangyang
-bash-4.2# mkuser id='502' pgrp='oinstall' groups='dba,asmdba' home='/home/oracle' zhuozhuo
#-bash-4.2# passwd yangyang
-bash-4.2# passwd zhuozhuo
#配置密码picclife
#主机内部,互相连接
-bash-4.2# su - yangyang
-bash-4.2# su - zhuozhuo --主机内部 类似于需要重置一次密码,后,再次切换用户正常
*虽然需要重新输入密码,都开始怀疑人生了,但是要坚强多输入几次,就OK了
#在不同的主机,ssh测试
#远程连接 一切正常
rac11g770b:/picclife/app/oracle$ hostname
rac11g770b
rac11g770b:/picclife/app/oracle$ exit
rac11g770a:/picclife/app/oracle$ hostname
rac11g770a
#小结,挺顺利的,但是需要事先在主机内部,进行多次密码确认动作,直到主机内,用户可以自由切换,su -a ,su -b, su -a
2. 建议操作
#推荐概要文件的配置:/etc/security/user
| 参数值 |
参数说明 |
| umask = 022 |
用户创建一个文件的默认权限 |
| loginretries = 0 |
允许用户输入密码错误的次数,超出锁定,0不限制 |
| histexpire = 0 |
设置相同密码的间隔时间,0不限制 |
| histsize = 0 |
新的密码不能与之前的几次密码相同,0不限制 |
| maxage = 0 |
密码可用时间(以周为单位),0永不过期 |
| minalpha = 0 |
密码最少的字符数量,0不限制 |
| minother = 0 |
密码最少特殊字符数量,0不限制 |
| minlen = 0 |
密码的最少长度,0不限制 |
| mindiff = 0 |
新密码与旧密码字符不同的数量,0不限制相同都可 |
#在实际操作过程中,AIX,搭建Oracle RAC 配置互信,密码问题无法配置成功,可以通过上述操作系统级别概要文件的修改,方便搭建过程
#在AIX在 安装过程中,创建oralce ,grid用户后,需要在当前主机环境,进行切换用户测试,可能需要输入多次的重复密码,确保在本机可以自由切换用户后,完成操作
3. Aix操作系统,概要文件参数说明
#为了更有深度的学习,或者说增强知识的扩展性,将博客中的参数解释说明都粘贴上来了
aix 中 /etc/security/user存放用户的概要 常用参数参数如下
1.account_locked defines whether the account is locked.locked accounts can not be used for login . possible values:true or false.定义账户是否被锁,被锁的账户不能登录。可以设置成true或false
2.admin defines the administrative status of the user. possible values:true or false.
定义用户的管理状态,可以设置成true或false
3.admgroups lists the groups that the user administrates.列出用户组
4.auth1 定义用户的主要认证方式,在通过命令行登录,telnet,远程登录和 su 切换的。
可能的值(1)system 普通认证 (2) none 不认证 (3)token ; username
在/etc/security/login.cfg 定义的名字
5.daemon 定义用户是否可以执行system resource controller(src)系统资源控制器,可能值:true or false
6.default_role 定义用户默认的角色
7.dictionlist 定义用户密码字典,当检测新密码时。例:/usr/share/dict/words
8.expires 定义用户账号过期时间。0表示不过期。
9.histexpires 定义用户的密码可以在多长时间重新使用(就是设置为同一个密码的时间间隔),0 表示不限制
10.histsize 定义新密码不能和之前几次的相同,值为0-50
11.login 用户是否可以本地登录 ,true or false
12.logintimes 用户登录的时间段
13.loginretries 密码输错多少次 账户锁定。0表示不限制。
14.maxage 密码的可用时间 以周为单位。0表示不限制。
15.maxexpired 密码时间超过maxage后 多长时间用户或过期
16.maxrepeats 密码中 字符重复出现的次数
17.minage 最短修改密码的时间
18.minalpha 口令中至少包含的字母数
19.mindiff 新口令与就口令至少要多少字符不相同
20.minlen 口令的最小长度
21.minother 口令中至少包含特殊字符的个数
22.rlogin 是否允许远程登录,true or false
23.su 是否允许用su 切换到此账户
24.umask 默认用户的umask
25.pwdwarntime 密码到期前多长时间,提示修改密码。
例:
account_locked = true 锁定帐号
admin = false 系统管理员
dictionlist = /usr/share/dict/words 数据字典文件
histexpire = 0 口令重用周期(0周,表示无限制)
histsize = 1 不能使用上1次用过的口令
login = false 禁止本地登录
loginretries = 3 口令重试3次后锁定
maxage = 12 口令可使用周期(12周)
maxexpired = 2 达到使用周期后2周内必须更改口令
maxrepeats = 0 允许字符在口令中重复出现
minage = 0 口令不得更改周期(0周,表示无限制)
minalpha = 6 口令必须包含6个字母
mindiff = 2 口令至少有2个字符与旧口令不相同
minlen = 8 口令不得少于8个字符
minother = 2 口令必须包含2个非字母字符
pwdwarntime = 10 在达到使用周期前10天提示修改口令
rlogin = true 允许远程登录
su = true 允许其他用户切换到本用户
umask = 027 缺省文件权限为750
sugroups = system 允许“system”组用户切换
root: 定义“root”用户配置
admin = true 系统管理员
login = true 允许本地登录
rlogin = false 禁止远程登录
account_locked = false 启用帐号